|
Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés
Par Rédaction,
secuobs.com
Le 25/07/2013
Résumé : A l’origine de la découverte des problèmes critique de sécurité concernant les cartes SIM, le chercheur allemand Karsten Nohl assure néanmoins que leur correction peut se faire de façon simple pour les opérateurs et de manière complètement transparente pour les utilisateurs. - Lire l'article
Les problèmes critiques de sécurité récemment exposés par Karsten Nohl et concernant les cartes SIM devraient pouvoir être facilement corrigés d’après le chercheur en sécurité allemand à l’origine de ces découvertes. A savoir que ces cartes SIM utilisent un forme de chiffrement obsolète lors du processus d’authentification des mises à jour logicielles.
Le chercheur ayant plus spécifiquement découvert qu’il est possible de forcer certains types de cartes SIM à divulguer leur clé de chiffrement DES 56-bit, un chiffrement pouvant être traité à l’aide d’un simple ordinateur moderne. A savoir qu’en envoyant une fausse mise à jour vers un téléphone, certaines cartes SIM retournent alors une erreur incluant cette clé.
Un équipement pourrait alors être utilisé afin d’envoyer un code malicieux accédant aux données critiques du téléphone et ce à travers la machine virtuel Java présente sur presque toutes les cartes SIM vendues dans le monde. Cinq cent millions de téléphones pourraient ainsi être vulnérables d’après un échantillon de mille cartes d’opérateurs différents testés.
Néanmoins le chiffrement faible et la diffusion de cette clé pourraient être fixés simplement, de la même manière que qu’ils sont exploités, à savoir par l’intermédiaire d’une simple mise à jour OTA (Over-The-Air). Par ailleurs, pour certaines SIM vulnérables, il pourrait également être possible de passer sur un chiffrement Triple DES lorsque ce dernier est supporté.
L’opération pouvant se faire en toute transparence pour les utilisateurs, de la même façon que les opérateurs envoient régulièrement des SMS « spéciaux » afin de changer par exemple les paramètres de Roaming. Les opérateurs pouvant également mettre en place des filtres spécifiques au niveau des centres de traitement en charge de l’ensemble des SMS échangés.
Source :
« SIM card vulnerabilities easy to fix, researcher says » sur « Network World on Security » ( lien )
- Article suivant : Une nouvelle vulnérabilité critique aurait été découverte dans Java 7
- Article précédent : Une famille de codes malicieux ciblant à la fois les systèmes Windows et Mac OS X
- Article suivant dans la catégorie Failles : Une nouvelle vulnérabilité critique aurait été découverte dans Java 7
- Article précédent dans la catégorie Failles : Une vulnérabilité déjà corrigée dans les Google Glass
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|